Protokolle und Warnungen für die aktive Bedrohungsreaktion

Sie können Protokolleinstellungen, Warnungen und Benachrichtigungen für Bedrohungs-Feeds konfigurieren, um Protokolle lokal in der Firewall zu speichern und Protokolle an Syslog-Server und Sophos Central zu senden.

Konfigurieren der Protokolleinstellungen

Gehen Sie wie folgt vor, um die Protokolleinstellungen zu konfigurieren:

Gehe zu Systemdienste > Protokolleinstellungen.
Unter Protokolleinstellungen, wählen Aktive Reaktion auf Bedrohungen für die folgenden Optionen:
1. Lokale Berichterstattung.
2. Von Ihnen konfigurierte Syslog-Server.
3. Zentrales Reporting.
  
  Die Spalte erscheint, nachdem Sie ausgewählt haben Senden Sie Berichte und Protokolle an Sophos Central auf der Sophos Central-Seite in der Firewall.
Klicken Anwenden.

Notiz

Um Warnungen und Benachrichtigungen zu generieren, gehen Sie zu Systemdienste > Benachrichtigungsliste.

Sehen Sie sich die Protokolle an

Die Firewall implementiert zunächst MDR-Bedrohungsfeeds, sofern diese konfiguriert sind. Informationen dazu, wie sie Ereignisse im Zusammenhang mit IoCs protokolliert, die in allen Bedrohungsfeeds vorhanden sind, finden Sie unter Wie die Firewall Bedrohungsfeeds implementiert.

Zusammenfassung

Gehe zu Protokollanzeigeund wählen Sie Aktive Reaktion auf Bedrohungen um die blockierten Indicators of Compromise (IoCs) anzuzeigen.
Wenn Sie über Synchronized Security verfügen, sehen Sie sich die zusätzlichen Informationen wie Benutzer, Host und Prozess an, um Maßnahmen zu ergreifen.
Um MDR-Analysten zu einem von MDR identifizierten IoC zu befragen, suchen Sie deren Audit-ID in den Protokollen. Sie benötigen die ID zur Identifizierung des Feeds.

Details zur Endpunktbedrohung

Wenn eine Bedrohung erkannt wird, fragt die Firewall von den von Sophos Central verwalteten Endpunkten Informationen wie Host, Benutzer und Prozess ab.

So zeigen Sie die Details an

Verwenden Sie die folgenden Optionen:

Protokollanzeige:
1. Wählen Aktive Reaktion auf Bedrohungen aus der Dropdown-Liste.
2. Überprüfen Sie die Prozessbenutzer Und Ausführbar Spalten.
3. Überprüfen Sie außerdem die Protokolle im detaillierten Format.
Berichte:
1. Klicken Netzwerk und Bedrohungen.
2. Wählen Aktive Reaktion auf Bedrohungen aus der Dropdown-Liste.
3. Überprüfen Sie die Synchronisiertes IoC Liste.

Bedrohungsdetails

Die Einzelheiten der Endpunktbedrohung lauten wie folgt:

host_process_user
endpoint_id
execution_path

Notiz

Sie können die Host-, Benutzer- und Prozessdetails in Endpunkten sehen, die Windows 7 und spätere Versionen verwenden.

Auf macOS-Endpunkten werden diese Details nicht angezeigt. Stattdessen wird eine allgemeine Warnung angezeigt, z. B. „Aktive Bedrohung C2/Generic-C gelöscht“. Um den Endpunkt zu identifizieren, suchen Sie nach der Quell-IP-Adresse in Protokollanzeige in der Firewall.

MDR-Sicherheitsanalysten-Audit-ID

Wenn ein MDR-Sicherheitsanalyst einen IoC, beispielsweise eine IP-Adresse, Domäne oder URL, hinzufügt oder entfernt, wird das Ereignis protokolliert und zeigt die Aktion und die Identität des Sicherheitsanalysten (Audit-ID) an.

Um MDR-Analysten zu einem Bedrohungsfeed zu befragen, suchen Sie in den Protokollen nach deren Audit-ID. Sie benötigen die ID zur Identifizierung des Feeds.

Sie können die Aktion und die Audit-ID mit einer der folgenden Optionen anzeigen:

In Protokollanzeige, wählen Sie die Schaltfläche „Detailansicht“ und dann Administrator aus der Dropdown-Liste.
Gehen Sie in Sophos Central zu Meine Produkte > Firewall-Verwaltung > Aufgabenwarteschlange.